'Meld datalek altijd bij toezichthoudende autoriteiten'

Wetgeving vereist dat organisaties toezichthoudende autoriteiten zonder onnodige vertraging op de hoogte stellen in het geval van een datalek. In het geval van de AVG is dat de Autoriteit Persoonsgegevens als gegevensbeschermingsautoriteit. Organisaties die vallen onder de NIS 2-richtlijn moeten dat doen bij een sectoraal Computer Security Incident Response Team (CSRT). De Informatiebeveiligingsdienst (IBD) is dat bijvoorbeeld voor alle Nederlandse gemeenten.

Ik raad het organisaties ten zeerste aan zich hieraan te houden, ook omdat cybercriminelen hiervan op de hoogte zijn. Ransomware-groepen weten dat als ze dreigen een melding te maken van niet-naleving aan de relevante autoriteit ze hiermee de druk op hun slachtoffer vergroten en hun onderhandelingspositie voor het verkrijgen van losgeld versterken.

Organisaties moeten bereid zijn om aan de rapportageverplichtingen te voldoen en hun compliance aan te tonen door hun kennis van zaken te vergroten. In het geval van de AVG kan dit betekenen dat ze alle gegevensstromen binnen hun bedrijf in kaart brengen en dat ze een Data Protection Impact Assessment (DPIA) maken. Ook moeten organisaties zich voorbereiden op een inbreuk. Bedrijfscontinuïteitsbeheer en rapporteren van incidenten zijn twee kernactiviteiten. Verder kunnen ze het Nationaal Cyber Security Centrum of het Digital Trust Center raadplegen voor concrete adviezen en hulpmiddelen om hun cyberweerbaarheid te vergroten.

Het is tijd om cyberveiligheid serieus te nemen. Organisaties moeten hun cyberbeveiliging aanpakken, omdat geopolitieke verschuivingen en opkomende technologieën zoals kunstmatige intelligentie de druk op organisaties vergroten om veerkrachtig te blijven. Potentiële gevolgen zoals grote financiële schade, boetes van toezichthouders en reputatieverlies zijn te ernstig.

Door: Dr. Martin J. Krämer (foto), Security Awareness Advocate, KnowBe4